概括
如果一个表单被设置为display:none并且它的字段被javascript填充了一些任意 html代码,那么提交时需要什么样的数据清理/表单安全性?
背景
我正在使用 JQuery 插件DataTables重新格式化和显示按组小计的数据。除了美中不足之外,它的效果很好:通过TableTools扩展将表格导出为 PDF(或其他形式)会导致原始格式而不是分组和小计格式。在与 DataTables/TableTools 作者讨论后,我得出结论,我需要以不同的方式导出。
我制作了一个按钮,将修改后的表格 html 而不是原始 html 提交到使用 mpdf 创建 pdf 文件的 php 脚本。它通过填充一个“不可见”的表单然后提交它来做到这一点。它工作得很好。
但我担心有一个提交 html 的不可见表单会让我很容易被滥用。当输入是任意的时,确保 POSTed 输入是我所期望的最好方法是什么?
代码
<!--HTML-->
<button name='Make PDF' id='butPDF'/>
<form action='makepdf.php' method='post' name='mpdf'
id='mpdf' style='display:none'>
<textarea name='pdf_html'></textarea>
</form>
//javascript
$(document).ready(function() {
$('.datatable').dataTable( {
//process table into desired format
});
$('button#butPDF').onClick(
function(){
var html= get_my_stuff();//collect up the desired bits
$('textarea[name="pdf_html"]').val(html);
$('form#mpdf).submit();
}
);
});
<?php
include(_MPDF_PATH . "mpdf.php");
$html=$_POST['pdf_html'];
$stylesheet = file_get_contents(LOCAL_INCLUDE.'css/mpdf.css');
$mpdf=new mPDF();
$mpdf->WriteHTML($stylesheet,1,true);
$mpdf->WriteHTML($html, 2,false);
$mpdf->Output('myfile.pdf','D'); //D for download
exit;
?>